Mozilla: czas zerwać z niebezpiecznym HTTP. Strony powinny być szyfrowane
Już nie tylko twórcy przeglądarki Google Chrome, ale także Mozilla chce promować coraz większe wykorzystywanie HTTPS. Ostatnie decyzje, jakie zapadły w fundacji, uderzą w witryny internetowe, które zdecydują się pozostać przy kanałach nieszyfrowanych. W przyszłości ich funkcjonalność będzie ograniczona w porównaniu do tych, które lepiej zabezpieczają prywatność użytkowników.
Jak na razie Mozilla nie przedstawiła konkretnych działań jakie ma zamiar podjąć, zamiast tego możemy zapoznać się z planem na najbliższe miesiące. Najpierw zostanie wyznaczony termin, po którym wszystkie nowe funkcje dostępne w przeglądarce (np. możliwość użycia sprzętu) będą mogły być wykorzystywane jedynie na stronach korzystających z szyfrowanych połączeń. Jednocześnie będzie następowało stopniowe ograniczanie dostępu do funkcji, które mogą stanowić zagrożenie bezpieczeństwa i prywatności użytkownika w przypadku stron nieszyfrowanych. Fundacja nie chce tego wszystkiego robić w sposób siłowy, zamierza zachęcać do stosowania HTTPS i korzystania z darmowych certyfikatów.
Już teraz przeglądarka Firefox blokuje stały dostęp do mikrofonu i kamery na stronach, które nie są szyfrowane. W przyszłości tego typu ograniczeń może być więcej np. w kontekście możliwości oferowanych przez ciasteczka, co spowoduje, że niektóre ze stron przestaną działać prawidłowo. Już pojawiło się wiele pytań związanych z tymi decyzjami, Mozilla przygotowała więc dokument, w którym odpowiada na najważniejsze z nich. Według fundacji dotychczasowe strony nadal będą działały, przejście całego Internetu na HTTPS potrwa sporo czasu. Administratorzy nie powinni się natomiast przejmować szybkością działania, bo obecnie szyfrowanie nie powoduje już dużego narzutu, a HTTP/2 dodatkowo zwiększa wydajność.
W dokumencie znajdziemy także nieco informacji o inicjatywach, które mogą już teraz pomóc w przejściu na kanał szyfrowany. Właściciele stron internetowych wcale nie muszą kupować ani adresów IP, ani stosunkowo drogich certyfikatów. Darmowe znajdziemy w StartSSL i WoSign, a niebawem będziemy mogli wykorzystać także projekt Let’s Encrypt. Szyfrowanie jest także dostępne na platformie CloudFlare, która dostarcza bezpieczne serwery DNS i sieć CDN, a przy okazji pozwala na ochronę witryn przed spamerami i oferuje darmowe szyfrowanie z użyciem SNI. Na stronach Mozilli znajdziemy także narzędzie do generowania pliku konfiguracyjnego dla różnych serwerów webowych (Apache, Nginx, HAProxy i AWS ELB), które pozwala szybko wdrożyć na serwerze odpowiednie ustawienia.
Mozilla nie jest pierwszym podmiotem, który tak otwarcie mówi o tym, że czas zerwać z HTTP. Pod koniec ubiegłego roku chęć działania w tym kierunku wyrazili twórcy Chromium. Ta przeglądarka ma docelowo ostrzegać użytkowników przed korzystaniem ze stron nieszyfrowanych, zupełnie tak, jak obecnie ostrzega przed stronami z wirusami i próbującymi wyłudzić od nas cenne dane. Użytkownik zaawansowany będzie wiedział, że nie ma się czego obawiać, „typowy Kowalski” najprawdopodobniej jednak zrezygnuje z jej przeglądania. Mozilla wydaje się iść drogą nieco spokojniejszą, choć także wyraźnie zaznacza, że odwrotu nie ma.